Новый троянец-шифровальщик получил наименование Trojan.Encoder.25129; превентивной защитой Антивируса Dr.Web он автоматически детектируется под именем DPH:Trojan.Encoder.9. После запуска троянец проверяет географическое расположение пользователя по IP-адресу инфицированного устройства. По задумке злоумышленников, троянец не шифрует файлы, если IP-адрес расположен в России, Беларуси или Казахстане, а также если в настройках ОС установлены русский язык и российские региональные параметры. Однако из-за ошибки в коде энкодер шифрует файлы вне зависимости от географической принадлежности IP-адреса.
Trojan.Encoder.25129 шифрует содержимое папок текущего пользователя, рабочего стола Windows, служебных папок AppData и LocalAppData. Шифрование осуществляется с использованием алгоритмов AES-256-CBC, зашифрованным файлам присваивается расширение .tron. Не шифруются файлы размером более 30 млн байт (примерно 28.6 Мбайт). После завершения шифрования троянец создает файли записывает в него значение «123» (если такой файл уже существует, шифрование не выполняется). Затем энкодер отправляет запрос на сайт iplogger, адрес которого зашит в его теле, а после этого показывает окно с требованиями выкупа.
Размер требуемого злоумышленниками выкупа варьируется от 0,007305 до 0,04 Btc. По нажатию на кнопку HOW TO BUY BITCOIN троянец демонстрирует окно с инструкциями по покупке криптовалюты Bitcoin.
В тексте требований злоумышленники уверяют своих жертв, что они смогут восстановить зашифрованные файлы, но из-за допущенной в коде троянца ошибки, считают в «Доктор Веб», в большинстве случаев это невозможно.